한국을 대표하는 이동통신사·카드사·포털이 잇따라 해킹 피해를 당하면서 ‘IT 강국’을 자처하던 한국 기업들의 허술한 보안 실태가 여과 없이 드러났다. SK텔레콤, KT, 롯데카드, 예스24, LG유플러스에 이어 공공기관까지 줄줄이 뚫리면서 사이버 안보의 근간이 흔들리고 있다.

전문가들은 “범정부 차원의 통합 보안 컨트롤타워를 서둘러 마련해야 한다”며 “기업이 개인정보 보호 의무를 다하지 못할 경우 존립을 위협할 수준의 강력한 제재가 뒤따라야 한다”고 지적한다.

◇ 통신·금융·포털, 전방위로 해킹 피해

올해 4월 SK텔레콤은 사상 최악의 서버 해킹을 당해 2696만 건의 고객 유심 정보가 유출됐다. 개인정보보호위원회는 역대 최대 규모인 1348억 원 과징금을 부과했다. KT는 중국 조직이 설치한 불법 초소형 기지국(팸토셀)에 뚫려 소액결제 피해가 발생했고, 362명이 2억 4000만 원 피해를 본 것으로 확인됐다. KT는 늑장 신고 논란까지 자초했다.

롯데카드는 지난달 고객 297만 명의 개인정보가 유출됐다. 초기에는 “피해 없다”고 했으나 실제로는 카드번호와 CVC 번호까지 빠져나간 것으로 드러났다. 예스24는 두 차례 랜섬웨어 공격으로 서비스가 마비됐고, LG유플러스도 30만 명 정보가 유출됐다. 공공기관 역시 전북대, 법원 전산망, NIA 등에서 대규모 정보 유출이 이어졌다.

◇ 솜방망이 처벌에 은폐·늑장 신고

문제는 사고가 발생해도 기업에 돌아가는 책임이 미약하다는 점이다. 현행법상 신고 지연이나 은폐에도 과태료는 최대 3000만 원에 불과하다. 실제로 최근 1년간 66건이 제때 신고되지 않았다. KT는 3일, 롯데카드는 6일이 지나서야 보고했다. 롯데카드는 유출 규모를 실제보다 100분의 1로 축소 발표했다는 의혹까지 받는다.

업계 관계자는 “자진 신고하면 손해만 보고, 늑장 신고해도 처벌이 약하니 기업들이 적극적으로 사실을 드러낼 이유가 없다”며 “지금 제도는 기업 책임을 사실상 방치하는 구조”라고 했다.

◇ 해외는 징벌적 손배·천문학적 과징금

해외는 정반대다. 미국 연방거래위원회는 개인정보 유출로 메타에 50억 달러(약 6조 원) 과징금을 부과했고, 유럽연합도 3800억 원 벌금을 매겼다. T모바일은 해킹 사고로 4천억원 피해 보상에 합의했고, 추가로 1억 5000만 달러 보안 투자를 약속했다.

미국은 국토안보부 산하에 사이버·인프라 보안국(CISA)을 두고 FBI·CIA 등과 공조하며, 영국은 GCHQ 산하 사이버보안센터(NCSC)를 운영한다. 일본·싱가포르도 정부 직속 중앙조직을 두고 있지만, 한국은 과기정통부·금융위·국정원 등으로 흩어져 있어 효율성이 떨어진다는 비판이 나온다.

◇ “사이버 보안, 국가 안보 차원 대응해야”

정부는 뒤늦게 대책을 내놨다. 과학기술정보통신부와 금융위원회는 지난 19일 “범부처 차원의 근본 대책을 마련하겠다”고 발표했다. 그러나 업계에서는 “단발성 대책이 아니라, 국가안보실 직속 전담 컨트롤타워가 필요하다”는 목소리가 높다.

보안 전문가들은 “AI 발전으로 해킹 수법이 값싸고 정교해졌다”며 “지금처럼 과태료 몇천만 원으로는 기업에 아무런 경각심을 줄 수 없다. 개인정보를 지키지 못하면 회사가 무너질 수 있다는 경각심을 심어줘야 한다”고 했다.

[ 경기신문 = 박민정 기자 ]